Jakarta (ANTARA News) - Setahun setelah Kaspersky Lab memperingatkan bahwa para penjahat siber akan mulai mengadopsi alat serta taktik dari kelompok APTs (advanced persistent threats) yang didukung negara untuk merampok bank.

Kini Kaspersky Lab resmi mengkonfirmasi kembalinya kelompok hacker Carbanak yang diberi nama Carbanak 2.0 dan juga mengungkapkan dua kelompok lainnya yang juga menggunakan gaya sama, yaitu Metel dan GCMAN.

"Saat ini, fase aktif dari serangan siber semakin singkat. Ketika para penjahat siber ini sangat terampil dalam operasi tertentu, maka mereka hanya membutuhkan beberapa hari atau minggu saja untuk mengambil apa yang mereka inginkan kemudian melarikan diri," kata Sergey Golovanov, Principal Security Researcher, Global Research & Analysis Team, Kaspersky Lab, dalam siaran persnya, Sabtu.

Ketiga kelompok hacker ini menyerang organisasi keuangan dengan menggunakan gaya pengintaian secara terselubung, malware yang dimodifikasi khusus, perangkat lunak resmi serta penggunaan cara-cara baru dan inovatif untuk mencuri uang.

Kelompok hacker Metel memiliki banyak trik, tetapi yang membuatnya sangat menarik karena pola serangan yang sangat pintar yakni dengan mendapatkan kontrol atas mesin dalam bank yang memiliki akses ke transaksi uang (misalnya komputer call center/support) kelompok ini dapat mengotomatisasi rollback dari transaksi ATM.

Kemampuan rollback memastikan bahwa saldo pada kartu debit tetap sama terlepas dari jumlah transaksi ATM yang dilakukan.

Dalam contoh yang diamati sampai saat ini, kelompok hacker ini mencuri uang dengan berkeliling kota di Rusia pada malam hari dan mengosongkan mesin ATM milik sejumlah bank, berulang kali menggunakan kartu debit yang sama yang dikeluarkan oleh bank yang telah diretas.

Kelompok Metel masih tetap aktif dan penyelidikan terhadap aktivitasnya masih terus berlangsung.

Sejauh ini tidak ada serangan di luar Rusia yang telah diidentifikasi, namun tetap ada kemungkinan bahwa infeksi ini akan semakin jauh lebih luas lagi dan perbankan di seluruh dunia disarankan untuk secara proaktif memeriksa infeksi ini.

Ketiga kelompok hacker ini diidentifikasi bergeser ke arah penggunaan malware yang disertai dengan perangkat lunak resmi dalam aksi tipu-tipu mereka.

Tetapi dalam hal kerahasiaan, para aktor di belakang kelompok hacker GCMAN bahkan melangkah lebih jauh lagi.

Kadang mereka berhasil menyerang sebuah organisasi tanpa menggunakan malware, hanya dengan menggunakan alat resmi dan telah lolos uji penetrasi saja.

Dalam kasus yang telah diselidiki ahli Kaspersky Lab, terlihat bahwa kelompok hacker GCMAN menggunakan utilitas Putty, VNC, dan Meterpreter untuk bergerak secara lateral melalui jaringan sampai para penjahat ini mencapai sebuah mesin yang dapat digunakan untuk mentransfer uang ke layanan e-currency tanpa memperingatkan sistem perbankan lainnya.

Dalam satu serangan yang diamati Kaspersky Lab, penjahat siber berada di jaringan selama satu setengah tahun sebelum melakukan pencurian.

Dan yang terakhir, Carbanak 2.0 menandai kemunculan kembali kelompok hacker Carbanak, dengan alat dan teknik yang sama, tetapi profil korban yang berbeda dan cara-cara inovatif untuk mencuri uang.

Pada 2015, target Carbanak 2.0 tidak hanya perbankan, tapi juga departemen penganggaran dan keuangan dari organisasi yang menjadi target mereka.

Pada salah satu contoh yang diamati oleh Kaspersky Lab, kelompok Carbanak 2.0 ini mengakses lembaga keuangan kemudian mengubah data-data sah kepemilikan sebuah perusahaan besar.

"Serangan terhadap lembaga keuangan ditemukan pada 2015 menunjukkan tren yang mengkhawatirkan dari semakin agresifnya penjahat siber menggunakan serangan bergaya APT," ujar Sergey Golovanov.

"Saya berharap bahwa setelah mendengar serangan GCMAN, Anda akan segera melakukan pemeriksaan mengenai bagaimana server dari perbankan online Anda dilindungi; sedangkan dalam kasus Carbanak, kami menyarankan untuk melindungi database yang berisi informasi pemilik rekening, bukan hanya saldo mereka," tambah dia.